<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><meta http-equiv="Content-Language" content="zh-CN"><title>dnssec-trust-anchors.d
  中文手册 [金步国]</title><style>
@font-face { font-family: "JinBuGuoWebMono"; src: url("http://www.jinbuguo.com/d/mono.ttf") format("truetype"); }
* { font-family: "JinBuGuoWebMono", "Ubuntu Mono", "Consolas", "Menlo", monospace; }
body { margin:10px; }
h1 { text-align:center; background:#ddd; }
h2#auth_name { text-align:center; margin: 10px 5%; }

    a.headerlink {
      color: #c60f0f;
      font-size: 0.8em;
      padding: 0 4px 0 4px;
      text-decoration: none;
      visibility: hidden;
    }

    a.headerlink:hover {
      background-color: #c60f0f;
      color: white;
    }

    h1:hover > a.headerlink, h2:hover > a.headerlink, h3:hover > a.headerlink, dt:hover > a.headerlink {
      visibility: visible;
    }
</style><script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?d286c55b63a3c54a1e43d10d4c203e75"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><h1>dnssec-trust-anchors.d 中文手册</h1><h2 id="auth_name">译者：<strong><a href="../index.html">金步国</a></strong></h2><hr><h3>版权声明</h3><p>本文译者是一位开源理念的坚定支持者，所以本文虽然不是软件，但是遵照开源的精神发布。</p><ul><li>无担保：本文译者不保证译文内容准确无误，亦不承担任何由于使用此文档所导致的损失。</li><li>自由使用：任何人都可以自由的<u>阅读/链接/打印</u>此文档，无需任何附加条件。</li><li>名誉权：任何人都可以自由的<u>转载/引用/再创作</u>此文档，但必须保留译者署名并注明出处。</li></ul><h3>其他作品</h3><p>本文译者十分愿意与他人分享劳动成果，如果你对我的其他翻译作品或者技术文章有兴趣，可以在如下位置查看现有的作品集：</p><ul><li><a href="../index.html">金步国作品集</a> [ <a href="../index.html">http://www.jinbuguo.com/</a> ]</li></ul><h3>联系方式</h3><p>由于译者水平有限，因此不能保证译文内容准确无误。如果你发现了译文中的错误(哪怕是错别字也好)，请来信指出，任何提高译文质量的建议我都将虚心接纳。</p><ul><li>Email(QQ)：70171448在QQ邮箱</li></ul><hr><a href="systemd.index.html">手册索引</a> ·
  <a href="systemd.directives.html">指令索引</a><span style="float:right">systemd-241</span><hr><div class="refentry"><a name="dnssec-trust-anchors.d"></a><div class="titlepage"></div><div class="refnamediv"><h2>名称</h2><p>dnssec-trust-anchors.d, systemd.positive, systemd.negative — DNSSEC 信任锚配置</p></div><div class="refsynopsisdiv"><h2>大纲</h2><p><code class="filename">/etc/dnssec-trust-anchors.d/*.positive</code></p><p><code class="filename">/run/dnssec-trust-anchors.d/*.positive</code></p><p><code class="filename">/usr/lib/dnssec-trust-anchors.d/*.positive</code></p><p><code class="filename">/etc/dnssec-trust-anchors.d/*.negative</code></p><p><code class="filename">/run/dnssec-trust-anchors.d/*.negative</code></p><p><code class="filename">/usr/lib/dnssec-trust-anchors.d/*.negative</code></p></div><div class="refsect1"><a name="id-1.5"></a><h2 id="描述">描述<a class="headerlink" title="Permalink to this headline" href="dnssec-trust-anchors.d.html#%E6%8F%8F%E8%BF%B0">¶</a></h2><p> DNSSEC 信任锚配置文件
    定义了
    <a href="systemd-resolved.service.html#"><span class="citerefentry"><span class="refentrytitle">systemd-resolved.service</span>(8)</span></a>
    实现 DNSSEC 完整性验证所依赖的根基：正向信任锚与反向信任锚。</p></div><div class="refsect1"><a name="id-1.6"></a><h2 id="正向信任锚(Positive Trust Anchor)">正向信任锚(Positive Trust Anchor)<a class="headerlink" title="Permalink to this headline" href="dnssec-trust-anchors.d.html#%E6%AD%A3%E5%90%91%E4%BF%A1%E4%BB%BB%E9%94%9A(Positive%20Trust%20Anchor)">¶</a></h2><p>正向信任锚配置文件包含 DNSKEY 与
    DS 资源记录。
    参见 <a class="ulink" href="https://tools.ietf.org/html/rfc4035#section-4.4" target="_top">RFC 4035,
    Section 4.4</a> 以了解更多有关 DNSSEC 信任锚
    的说明。</p><p>正向信任锚依次从
    <code class="filename">/etc/dnssec-trust-anchors.d/</code>(优先级最高),
    <code class="filename">/run/dnssec-trust-anchors.d/</code>(优先级居中),
    <code class="filename">/usr/lib/dnssec-trust-anchors.d/</code>(优先级最低)
    目录下后缀名为 <code class="filename">.positive</code> 配置文件中读取。
    对于不同目录下的同名配置文件来说，
    高优先级目录中的配置文件会覆盖低优先级目录中的同名配置文件。
    因此，要想屏蔽
     <code class="filename">/usr/lib/dnssec-trust-anchors.d/</code>
    目录中的某个配置文件，可以在
    <code class="filename">/etc/dnssec-trust-anchors.d/</code> 或
    <code class="filename">/run/dnssec-trust-anchors.d/</code> 目录中
    创建一个指向 <code class="filename">/dev/null</code> 的同名软连接。</p><p>与
    DNS区域文件(<a class="ulink" href="https://tools.ietf.org/html/rfc1035#section-5" target="_top">RFC 1035, Section
    5</a>)一样，正向信任锚的配置文件也是一个纯文本文件。
    格式上，一行表示一个 DS 或 DNSKEY 资源记录，
    空行与分号("<code class="literal">;</code>")开头的行将被忽略。
    一个 DS 资源记录的例子：</p><pre class="programlisting">. IN DS 19036 8 2 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5</pre><p>第一个字段表示域(尾部的句点可写可不写)，本例中的 
    "<code class="literal">.</code>" 表示
    "根域"。
    第二个字段必须是 "<code class="literal">IN</code>" 。
    第三个字段必须是 "<code class="literal">DS</code>" 。
    其余的字段分别表示：公钥标签(Key Tag), 签名算法, 摘要算法, 16进制编码的公钥摘要。
    参见 <a class="ulink" href="https://tools.ietf.org/html/rfc4034#section-5" target="_top">RFC 4034,
    Section 5</a> 以了解
    上述各字段含义的详细解释。</p><p> DNSKEY 资源记录用于定义信任锚。
    一个 DNSKEY 资源记录的例子：</p><pre class="programlisting">. IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=</pre><p>第一个字段表示域(尾部的句点可写可不写)，本例中的 "<code class="literal">.</code>" 表示"根域"。
    第二个字段必须是 "<code class="literal">IN</code>" 。
    第三个字段必须是 "<code class="literal">DNSKEY</code>" 。
    其余的字段分别表示：DNSKEY Flags, 协议, 公钥算法, Base64编码的公钥。
    参见 <a class="ulink" href="https://tools.ietf.org/html/rfc4034#section-2" target="_top">RFC 4034,
    Section 2</a> 以了解
    上述各字段含义的详细解释。</p><p>如果为同一个域定义了多个 DS 或 DNSKEY 资源记录，
    那么
    所有公钥都将被认可并且彼此平等
    (即使这些记录位于不同目录下的配置文件中)。</p><p>注意，如果没有专门为根域配置正向信任锚，
    那么 <code class="filename">systemd-resolved</code>
    将会自动为根域使用内置的信任锚公钥，
    因此
    通常没必要专门为根域配置信任锚。
    仅在根域的信任锚确实发生变化的情况下，
    才需要专门为根域配置新的信任锚。</p><p>通常建议将信任锚封装为 DS
    资源记录(而不是 DNSKEY 资源记录)。</p><p>如果发现某个 DS 资源记录中封装的信任锚已经被撤销，
    那么在将会自动从信任锚数据库中删除该记录。
    参见 <a class="ulink" href="https://tools.ietf.org/html/rfc5011" target="_top">RFC
    5011</a> 已了解有关信任锚的撤销。
    注意，<code class="filename">systemd-resolved</code>
    不会自动从 DNS 服务器更新自己的信任锚数据库。
    推荐的做法是升级 systemd 软件包的版本
    或者更新信任锚配置文件。</p><p>最新的 Internet 根域 DNSSEC 信任锚
    可以从 <a class="ulink" href="https://data.iana.org/root-anchors/root-anchors.xml" target="_top">IANA
    Trust Anchor and Keys</a> 页面获取。</p></div><div class="refsect1"><a name="id-1.7"></a><h2 id="反向信任锚(Negative Trust Anchor)">反向信任锚(Negative Trust Anchor)<a class="headerlink" title="Permalink to this headline" href="dnssec-trust-anchors.d.html#%E5%8F%8D%E5%90%91%E4%BF%A1%E4%BB%BB%E9%94%9A(Negative%20Trust%20Anchor)">¶</a></h2><p>反向信任锚用于定义应该针对哪些域关闭 DNSSEC 验证机制。
    反向信任锚配置文件与正向信任锚配置文件的存放目录、优先级、覆盖规则都完全相同。
    反向信任锚配置文件的名称必须以 <code class="filename">.negative</code> 为后缀，
    空行与分号("<code class="literal">;</code>")开头的行将被忽略。
    每行一个域名，
    表示关闭该域名及其所有子域名的 DNSSEC 验证机制。</p><p>反向信任锚通常用于禁用某些私有域名的DNSSEC验证机制，
    因为这些私有域名
    无法在互联网DNS服务器上进行验证。</p><p><a class="ulink" href="https://tools.ietf.org/html/rfc7646" target="_top">RFC
    7646</a> 详细描述了反向信任锚。</p><p>如果没有设置任何反向信任锚配置文件，
    那么将使用一组内置的众所周知的私有DNS区域
    作为反向信任锚。</p><p>可以使用
     <code class="varname">DNSSECNegativeTrustAnchors=</code>
     选项(参见
    <a href="systemd.network.html#"><span class="citerefentry"><span class="refentrytitle">systemd.network</span>(5)</span></a>
    手册)专门针对特定的网络接口设置专属的反向信任锚。</p></div><div class="refsect1"><a name="id-1.8"></a><h2 id="参见">参见<a class="headerlink" title="Permalink to this headline" href="dnssec-trust-anchors.d.html#%E5%8F%82%E8%A7%81">¶</a></h2><p>
      <a href="systemd.html#"><span class="citerefentry"><span class="refentrytitle">systemd</span>(1)</span></a>,
      <a href="systemd-resolved.service.html#"><span class="citerefentry"><span class="refentrytitle">systemd-resolved.service</span>(8)</span></a>,
      <a href="resolved.conf.html#"><span class="citerefentry"><span class="refentrytitle">resolved.conf</span>(5)</span></a>,
      <a href="systemd.network.html#"><span class="citerefentry"><span class="refentrytitle">systemd.network</span>(5)</span></a>
      </p></div></div></body></html>
